Warning: file_get_contents(/data/phpspider/zhask/data//catemap/2/jquery/75.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Javascript 利用jquery html编码XSS_Javascript_Jquery_Security_Xss - Fatal编程技术网
Fatal编程技术网
  • javascript/
  • Javascript 利用jquery html编码XSS

Javascript 利用jquery html编码XSS

javascript jquery security

Javascript 利用jquery html编码XSS,javascript,jquery,security,xss,Javascript,Jquery,Security,Xss,阅读后,用户警告这种编码html的方法是不安全的 return $('<div/>').html(encodedText).text(); return$('').html(encodedText.text(); “不要使用jQuery.html().text()对html实体进行解码,因为这是不安全的 因为用户输入永远不能访问DOM " “我建议使用更安全、更优化的功能” 此方法的目的是获取编码输入,即Fish&;芯片并产生未编码的输出,即鱼和芯片 据我所知,他们

阅读后,用户警告这种编码html的方法是不安全的

    return $('<div/>').html(encodedText).text();

return$('').html(encodedText.text();
“不要使用jQuery.html().text()对html实体进行解码,因为这是不安全的 因为用户输入永远不能访问DOM "

“我建议使用更安全、更优化的功能”

此方法的目的是获取编码输入,即
Fish&;芯片
并产生未编码的输出,即鱼和芯片

据我所知,他们声称对于
encodedText
的某些值,可以执行javascript。我试图将此设置
encodedText
复制到
alert(1)
和其他一些简单的攻击,但找不到XSS漏洞的任何迹象

我的问题是:当使用
$('').html(encodedText).text()时,任何浏览器中是否存在任何明显的xss漏洞有很多方法,这是使用带有图像标记的OneError的一种方法



var x=$(“”).html(“”).text();
控制台日志(x)

$('').html('').text()

请特别注意以下答案:

$('<div/>').html('<img onerror="alert(0)" src=invalid>').text()